EP2520064B1 - Verteilte authentifizierung mit daten-clouds - Google Patents

Claims (12)

1. Verfahren, das umfasst:

   Senden (2A) einer Client-Anforderung von gespeicherten Daten in eine Datenwolke als Reaktion auf eine Notwendigkeit für einen Benutzer, auf bestimmte gespeicherte Daten zuzugreifen, die eine Authentifizierung erfordern, wobei die Client-Anforderung den Benutzer nicht identifiziert, wobei die Datenwolke eine Sammlung von Ressourcen ist, die gepflegt werden, um einen geographisch verteilten Datenspeicher für die Daten bereitzustellen;

   Empfangen (2B), aus der Datenwolke, von Antwortinformationen, die einen Authentifizierungsbereich beschreiben,

   wobei der Authentifizierungsbereich dem geographisch verteilten Datenspeicher entspricht und wobei die Antwortinformationen Informationen umfassen, die einen Authentifizierungscomputer oder ein Authentifizierungssystem in der Datenwolke identifizieren, auf den bzw. das zur Authentifizierung mit dem Authentifizierungsbereich zugegriffen werden soll;

   Präsentieren (2C) der den Authentifizierungsbereich beschreibenden Informationen für den Benutzer und Auffordern des Benutzers nach einem Benutzernamen und Passwort, und

   erneutes Senden (2D) der gleichen Client-Anfrage in die Datenwolke mit einem Authentifizierungsheader, der Benutzerberechtigungsnachweise aufweist, die zumindest teilweise unter Verwendung der Antwortinformationen erzeugt wurden, wobei die Benutzerberechtigungsnachweise den Benutzernamen und ein gehaschtes Passwort umfassen, wobei das gehaschte Passwort unter Verwendung einer in den Antwortinformationen umfassten Funktion gebildet wird, wobei die Benutzerberechtigungsnachweise in der Datenwolke als Schlüssel-und-Wert-Paar <key, value> gespeichert werden, das mehreren autorisierten Benutzeranwendungen Zugriff auf die Benutzerberechtigungsnachweise gewährt, wobei der Schlüssel eine Kombination aus Benutzernamen und gehashtem Passwort umfasst und der Wert Informationen umfasst, die beschreiben, wie oft während eines bestimmten Zeitintervalls auf die Daten zugegriffen worden ist.
2. Verfahren nach Anspruch 1, wobei die Benutzerberechtigungsnachweise in der Datenwolke gespeichert werden.
3. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Autorisierung für die Benutzerberechtigungsnachweise auf einem offenen Autorisierungsschlüssel und einer Geheiminformation basiert.
4. Verfahren nach einem der Ansprüche 1 bis 2, wobei die Autorisierung für die Benutzerberechtigungsnachweise auf wenigstens einem aus einem Secure Socket Layer oder einer Transparent-Schicht-Security besteht.
5. Verfahren nach einem der vorhergehenden Ansprüche, wobei der Benutzername in den Benutzerberechtigungsnachweisen ebenfalls gehasht wird.
6. Verfahren nach Anspruch 1, wobei die Benutzerberechtigungsnachweise nur dann gültig sind, wenn sie mit Benutzerberechtigungsnachweisen übereinstimmen, die bereits in der Datenwolke gespeichert sind.
7. Verfahren nach einem der vorhergehenden Ansprüche, wobei als Reaktion darauf, dass die Benutzerberechtigungsnachweise gültig sind, ferner umfassend ein Erzeugen eines Cookies und Speichern des Cookies in der Datenwolke.
8. Verfahren nach Anspruch 7, wobei das Cookie nur für eine einzige Benutzer-Browsing-Sitzung verfügbar ist.
9. Verfahren nach Anspruch 8, wobei das Cookie aus einem Single-Sign-On-Token besteht.
10. Verfahren gemäß einem der vorhergehenden Ansprüche, das durchgeführt wird als Resultat einer Ausführung von Computerprogrammbefehlen, die auf einem computerlesbaren Speichermedium gespeichert sind.
11. Vorrichtung, die umfasst:

    einen Prozessor; und

    einen Speicher mit einem Computerprogrammcode, wobei der Speicher und der Computerprogrammcode dazu ausgelegt sind, mit dem Prozessor zu bewirken, dass die Vorrichtung zumindest durchführt: Senden einer Client-Anforderung von gespeicherten Daten in eine Datenwolke als Reaktion (2A) auf eine Notwendigkeit für einen Benutzer, auf bestimmte gespeicherte Daten zuzugreifen, die eine Authentifizierung erfordern, wobei die Client-Anforderung den Benutzer nicht identifiziert, wobei die Datenwolke eine Sammlung von Ressourcen ist, die gepflegt werden, um einen geographisch verteilten Datenspeicher für die Daten bereitzustellen; Empfangen (2B), aus der Datenwolke, von Antwortinformationen, die einen Authentifizierungsbereich beschreiben, wobei der Authentifizierungsbereich dem geographisch verteilten Datenspeicher entspricht und wobei die Antwortinformationen Informationen umfassen, die einen Authentifizierungscomputer oder ein Authentifizierungssystem in der Datenwolke identifizieren, auf den bzw. das zur Authentifizierung mit dem Authentifizierungsbereich zugegriffen werden soll; Präsentieren (2C) der den Authentifizierungsbereich beschreibenden Informationen für den Benutzer, und Auffordern des Benutzers nach einem Benutzernamen und Passwort; und erneutes Senden (2D) der gleichen Client-Anfrage in die Datenwolke mit einem Authentifizierungsheader, der Benutzerberechtigungsnachweise aufweist, die zumindest teilweise unter Verwendung der Antwortinformationen erzeugt wurden, wobei die Benutzerberechtigungsnachweise den Benutzernamen und ein gehaschtes Passwort umfassen, wobei das gehaschte Passwort unter Verwendung einer in den Antwortinformationen umfassten Funktion gebildet wird, wobei die Benutzerberechtigungsnachweise in der Datenwolke als Schlüssel-und-Wert-Paar <key, value> gespeichert werden, das mehreren autorisierten Benutzeranwendungen Zugriff auf die Benutzerberechtigungsnachweise gewährt, wobei der Schlüssel eine Kombination aus Benutzernamen und gehashtem Passwort umfasst und der Wert Informationen umfasst, die beschreiben, wie oft während eines bestimmten Zeitintervalls auf die Daten zugegriffen worden ist.
12. Vorrichtung nach Anspruch 11, mit Mitteln zum Durchführen eines Verfahrens gemäß einem der Ansprüche 2 bis 10.

Images